Resolución 104/2012

Emisor:MINISTERIO DEL INTERIOR Y TRANSPORTE
Fecha de la disposición:30 de Julio de 2012
 
ÍNDICE
EXTRACTO GRATUITO

Bs. As., 30/7/2012

VISTO el Expediente Nº S02:0012182/2010 del Registro del MINISTERIO DEL INTERIOR Y TRANSPORTE, la Decisión Administrativa 669 de fecha 20 de diciembre de 2004, la Disposición de la OFICINA NACIONAL DE TECNOLOGIAS DE LA INFORMACION de la SUBSECRETARIA DE LA GESTION PUBLICA de la JEFATURA DE GABINETE DE MINISTROS Nº 6 de 10 de agosto de 2005, y

CONSIDERANDO:

Que el artículo 1º de la Decisión Administrativa Nº 669/2004 establece que los organismos del Sector Público Nacional comprendidos en los incisos a) y c) del artículo 8º de la Ley de Administración Financiera y de los Sistemas de Control del Sector Público Nacional Nº 24.156 y sus modificaciones, deberán dictar, o bien adecuar sus políticas de seguridad de la información.

Que la Decisión Administrativa mencionada en el considerando precedente, prevé la conformación de un Comité de Seguridad de la Información, determinando las funciones que el mismo deberá ejecutar.

Que la Disposición Nº 6 de fecha 3 de agosto de 2005 de la OFICINA NACIONAL DE TECNOLOGIAS DE INFORMACION organismo dependiente de la ex SUBSECRETARIA DE GESTION PUBLICA de la JEFATURA DE GABINETE DE MINISTROS, aprueba la “Política de Seguridad de la Información Modelo”.

Que a los fines de optimizar las herramientas de protección de los activos y recursos de información de este Ministerio, la tecnología utilizada para su procesamiento, y dar acabado cumplimiento con la norma referida ut supra, deviene necesario dictar una política de seguridad de la información conteste con la Política de Seguridad de la Información Modelo.

Que conforme la Decisión Administrativa Nº 669/04 el MINISTERIO DEL INTERIOR Y TRANSPORTE deberá conformar un Comité de Seguridad de la Información integrado por representantes de las Direcciones Nacionales o Generales o equivalentes del organismo.

Que el Comité de Seguridad de la Información citado en el considerando precedente, será coordinado por el SUBESECRETARIO DE COORDINACION DEL MINISTERIO DEL INTERIOR Y TRANSPORTE.

Que la asignación de funciones relativas a la seguridad informática y la integración del Comité de Seguridad de la Información, respectivamente, no deberá implicar erogaciones presupuestarias adicionales.

Que la Dirección General de Asuntos Jurídicos del MINISTERIO DEL INTERIOR Y TRANSPORTE ha tomado intervención.

Que la presente medida se dicta en uso de las atribuciones conferidas por la Ley de Ministerios (t.o. Decreto Nº 438/92), las modificaciones introducidas por la Ley Nº 26.338 y los Arts. 1 y 2 de la Decisión Administrativa 669/2004.

Por ello,

EL MINISTRO

DEL INTERIOR Y TRANSPORTE

RESUELVE:

Artículo 1º

— Créase el Comité de Seguridad de la Información del MINISTERIO DEL INTERIOR Y TRANSPORTE, quedando conformada a partir del dictado de la presente por representantes de la Dirección General del Servicio Administrativo Financiero, la Dirección General de Recursos Humanos, la Dirección General de Asuntos Jurídicos y la Dirección General de Gestión Informática del organismo.

Art. 2º

— Apruébase la “POLITICA DE SEGURIDAD DE LA INFORMACION del MINISTERIO DEL INTERIOR Y TRANSPORTE”, que como Anexo I integra la presente medida.

Art. 3º

— Desígnase Coordinador del Comité de Seguridad de la Información del MINISTERIO DEL INTERIOR Y TRANSPORTE al SUBSECRETARIO DE COORDINACION DEL MINISTERIO DEL INTERIOR Y TRANSPORTE.

Art. 4º

— Comuníquese, publíquese, dése a la DIRECCION NACIONAL DEL REGISTRO OFICIAL y archívese. — Aníbal F. Randazzo.

ANEXO I

POLITICA DE SEGURIDAD DE LA INFORMACION

MINISTERIO DEL INTERIOR Y TRANSPORTE

INDICE

  1. INTRODUCCION

    1.1. Objetivos de la Política de Seguridad de la Información

  2. DEFINICIONES

    2.1. Seguridad de la Información

    2.2. Información

    2.3. Dato

    2.4. Clasificación de la Información

    2.4.1. Datos Sensibles

    2.4.2. Datos Críticos

    2.5. Sistema de Información

    2.6. Tecnología de la Información

    2.7. Recursos Informáticos

    2.8. Recursos Informáticos Personales

    2.9. Evaluación de Riesgos

    2.10. Administración de Riesgos

    2.11. Incidente de Seguridad

    2.12. Usuario

  3. AMBITO DE APLICACION

    3.1. Alcance de la Política de Seguridad del MIyT

    3.2. Ambito Funcional

    3.3. Ambito Personal

  4. ORGANIZACION DE LA SEGURIDAD

    4.1. Comité de Seguridad de la Información

    4.2. Responsables Primarios de la Información

    4.3. Coordinación del Comité de Seguridad de la Información

    4.3.1. Organización de la Seguridad

    4.3.2. Organigrama DGGI

    4.3.3. Segregación de Funciones DGGI

    4.3.4. Glosario de Funciones

    4.4. Designación del Responsable de Area de Sistemas Informáticos

    4.5. Designación del Responsable de Area de Tecnología y Seguridad

    4.6. Responsable del Area de Recursos Humanos

    4.7. Responsable del Area de Capacitación

    4.8. Responsable del Area de Seguridad Física

    4.9. Responsable de la Unidad de Auditoría Interna

    4.10. Asignación de Funciones y Responsabilidades de los Responsables

    4.10.1. Responsabilidades del Coordinador del Comité de Seguridad de la Información

    4.10.2. Responsabilidades del Comité de Seguridad de la Información

    4.10.3. Responsabilidades de Responsables Primarios de Información

    4.10.4. Responsabilidades del Area de Sistemas Informáticos

    4.10.5. Responsabilidades del Area de Tecnología y Seguridad

    4.10.6. Responsabilidades del Area de Backup

    4.11. Separación de Funciones

    4.11.1. Separación entre Instalaciones de Desarrollo, Prueba y Producción

    4.11.2. Esquema teórico de segregación de los entornos de Prueba, Producción y Desarrollo

    4.11.2.1. Ambiente de Desarrollo

    4.11.2.2. Ambiente de Pruebas

    4.11.2.3. Ambiente de Producción

  5. FUNCIONES Y OBLIGACIONES DEL PERSONAL Y/O USUARIOS

    5.1. Carácter de usuario

    5.2. Confidencialidad

    5.3. Identificación y Claves de Acceso

    5.4. Utilización de Equipos Informáticos

    5.5. Utilización de Internet y Correo Electrónico

    5.6. Utilización de Programas, Software y Aplicaciones Informáticas

    5.7. Política de Escritorios y Pantallas Limpias

    5.8. Incidencias

  6. SEGURIDAD DEL PERSONAL Y/O USUARIOS

    6.1. Objetivo

    6.2. Alcance

    6.3. Responsabilidades

    6.4. Administradores de Identificación y Acceso

    6.4.1. Carácter de Administrador

    6.4.2. Notificación de Responsabilidad y Buen Uso de los Recursos de Información de Administradores

    6.4.3. Notificación de Responsabilidad y Buen Uso de los Recursos de Información de Usuarios

    6.5. Capacitación del Usuario

    6.5.1. Objetivo

    6.5.2. Formación y Capacitación en Seguridad de la Información

  7. GESTION DE INCIDENCIAS

    7.1. Objetivo

    7.2. Comunicación de incidentes relativos a la seguridad

    7.3. Registro de Incidencias

    7.4. Procedimiento de gestión de incidencias

    7.5. Comunicación de vulnerabilidades de seguridad

    7.6. Comunicación de Anomalías del Software

    7.7. Aprendiendo de los incidentes

    7.8. Sanciones

  8. CLASIFICACION DE ACTIVOS

    8.1. Objetivo

    8.2. Alcance

    8.3. Responsabilidades

    8.4. Inventario de activos

    8.5. Clasificación de la información

    8.5.1. Confidencialidad

    8.5.2. Integridad

    8.5.3. Disponibilidad

    8.5.4. Criticidad de la Información

    8.5. Rotulado de la Información

  9. SEGURIDAD FISICA Y AMBIENTAL

    9.1. Objetivos

    9.2. Alcance

    9.3. Areas Seguras y de Acceso Restringido

    9.3.1. Perímetro de seguridad física

    9.3.2. Areas Restringidas

    9.3.3. Controles de acceso físico

    9.4. Seguridad del equipamiento informático

    9.4.1. Objetivo

    9.4.2. Ubicación y protección del equipamiento

    9.4.3. Suministro de energía

    9.4.4. Seguridad del cableado

    9.4.5. Mantenimiento de equipos

    9.4.6. Seguridad del equipamiento fuera del ámbito de la organización

    9.4.7. Baja segura o reutilización de equipamiento

    9.4.8. Retiro de Activos del MINISTERIO DEL INTERIOR Y TRANSPORTE

    9.4.9. Seguridad de los medios de tránsito

  10. GESTION DE COMUNICACIONES Y OPERACIONES

    10.1. Objetivo

    10.2. Responsabilidades

    10.3. Procedimientos Operativos de Documentación

    10.4. Gestión de procesamiento externo

    10.5. Planificación y Aprobación de sistemas

    10.5.1. Objetivo

    10.5.2. Planificación de la capacidad

    10.5.3. Aprobación del sistema

  11. MANTENIMIENTO Y RESGUARDO DE LA INFORMACION

    11.1. Objetivo

    11.2. Alcance del Resguardo de la Información

    11.3. Controles del Resguardo y Recupero de la Información

    11.4. Administración y Seguridad de los Medios de Almacenamiento

    11.4.1. Objetivo

    11.4.2. Administración de medios informáticos removibles

    11.4.3. Eliminación de Medios de Información

    11.5. Resguardo de la información del MINISTERIO DEL INTERIOR Y TRANSPORTE

    11.5.1. Objetivo

    11.5.2. Procedimientos de Resguardo y Conservación de Datos

    11.6. Intercambio de información y software

    11.6.1. Objetivo

    11.6.2. Acuerdos de Intercambio de Información y Software

    11.6.3. Seguridad de la Interoperabilidad y el Gobierno Electrónico

    11.6.4. Sistemas de Acceso Público y semipúblico

    11.6.5. Seguridad frente al acceso por parte de terceros

  12. CONTROL DE ACCESO LOGICO

    12.1. Objetivos

    12.2. Responsabilidades

    12.3. Política de Control de Accesos

    12.4. Reglas de control de accesos

    12.5. Administración de Accesos de Usuarios

    12.5.1. Objetivo

    12.5.2. Registración de Usuarios

    12.6. Administración de Privilegios

    12.7. Administración de Contraseñas de Usuario

    12.8. Uso de Cuentas con perfil de Administrador

    12.9. Uso de contraseñas

    12.10. Control de acceso a la red

    12.10.1. Objetivo

    12.10.2. Política de utilización de los servicios de red

    12.10.3. Camino Forzado

    12.10.4. Autenticación de Nodos

    12.10.5. Protección de los puertos de diagnóstico remoto

    12.10.6. Computación Móvil y Trabajo remoto

    12.10.7. Subdivisión de Redes

    12.10.8. Control de Ruteo de Red

    12.10.9. Seguridad de los Servicios de Red

    12.11. Control de acceso al sistema operativo

    12.11.1. Objetivo

    12.11.2. Identificación de Puestos de Trabajo y Servidores

    12.11.3. Procedimientos de Conexión

    12.11.4. Identificación y autenticación de los usuarios

    12.11.5. Uso de Utilitarios de Sistemas Operativos

    12.11.6. Desconexión por Tiempo Muerto en Puestos de Trabajo

    12.11.7. Limitación del Horario de Conexión

    12.12. Control de Acceso a las Aplicaciones

    12.12.1. Objetivo

    12.12.2. Restricción del Acceso a la Información

    12.12.3. Aislamiento de...

Para continuar leyendo

SOLICITA TU PRUEBA